Aseguramiento de Dispositivos

Transcripción

1 Aseguramiento de Dispositivos Angélica Flórez Abril, MSc. Universidad Pontificia Bolivariana Bucaramanga, Colombia Octubre, 2011

2 Amenazas físicas Hardware Daño físico Ambientales Control de temperatura Control de humedad Eléctricas Mantenimiento Picos de voltaje Pérdida de alimentación Sistemas de alarmas y vigilancia Falta de repuestos Problemas de rotulado y administración del cableado Acceso no controlado al puerto de consola

3 Dispositivos de seguridad El mito del firewall?? Comunicaciones seguras VPN El IOS de los routers de servicios integrados (ISR) Cisco ASA 5500

4 Seguridad en los routers PC3 El Router1 le permite a los hosts de las redes internas comunicarse con Internet SR3: /24 Internet FE0/0 ES3: /30 DCE S0/0/0 Router1 S0/0/1 RouterISP SR2: /24 ES1: /30 ES2: /30 PC2 PC1 SR1: /24 FE0/0 FE0/1 S0/0/0 Router2 Router3 Lo0: /24 Lo1: /24 DCE S0/0/0 FE0/0 SR4: /24 El Router3 le permite a los hosts de la subred acceder a los hosts de las demás subredes, a través de la interface FE0/0 (default gateway) PC4

5 Seguridad en los routers Función de los routers: Enrutamiento del tráfico entre diversas redes Ofrece servicios de internetworking Publica la redes y define quiénes pueden utilizarlas Proporciona acceso a los segmentos de redes y subredes

6 Los routers como objetivo de ataques Problemas de seguridad en los routers: Ataque de control de acceso: revisión de los detalles de configuración de la red para la generación de ataques hacia los componentes internos de la red. Compromiso de las tablas de enrutamiento: disminución del rendimiento, denegación de servicios de comunicación y exposición de la información confidencial. Configuración incorrecta de un filtro: exposición de los componentes internos a ataques y escaneos.

7 Técnicas de protección de los routers Seguridad física Actualización del IOS Backup de las configuraciones y del IOS Aseguramiento del router a nivel de puertos y servicios no utilizados PC3 SR3: /24 Internet FE0/0 ES3: /30 S0/0/1 RouterISP

8 Aseguramiento del router 1) Administración de contraseñas 6) Control y filtrado del tráfico de la red 2) Protección del acceso remoto 5) Protección de los protocolos de enrutamiento 3) Registro de sucesos del router 4) Protección de servicios e interfaces vulnerables

9 1) Administración de Contraseñas Router(config)# enable password cisco Router(config)# username angelica password cisco Router# show running-config! Hostname Router Enable password angelica!! Username angelica password 0 angelica Contraseña en texto claro

10 Cifrado de contraseñas Cifrado simple Tipo: 7 Algoritmo de cifrado simple de cisco Resumen complejo Tipo: 5 Algoritmo hash MD5 Más seguro

11 Configuración cifrado simple PC3 SR3: /24 Internet enable password username line password FE0/0 ES3: /30 S0/0/1 RouterISP Router(config)# service password-encryption hostname Router! enable password C150C1413!! username angelica password C150C1413

12 Configuración cifrado complejo PC3 SR3: /24 Internet enable secret username MD5 FE0/0 ES3: /30 S0/0/1 RouterISP Router(config)# enable secret cisco Router(config)# username jose secret jose hostname Router! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 enable password C150C1413! username angelica password C150C1413 username jose secret 5 $1$mERr$iT84/CUoMeCqgYqo3Jh1k.

13 Longitud de la contraseña PC3 FE0/0 SR3: /24 ES3: /30 Internet enable password username line password Min-length:0-16 S0/0/1 RouterISP Router(config)# security passwords min-length 12 Router(config)# username angie password angie % Password too short - must be at least 10 characters. Password not configured. Router(config)# username angie password angelicaflorez username angelica password C150C1413 username angie password C150C14130D000B382E3E username jose secret 5 $1$mERr$iT84/CUoMeCqgYqo3Jh1k.

14 2) Protección del acceso remoto Telnet, SSH, HTTP, HTTPS o SNMP Definición de una subred de administración Cifrado del tráfico desde y hacia el host remoto Restringir el acceso remoto PC3 SR3: /24 Internet FE0/0 ES3: /30 S0/0/1 RouterISP

15 Desactivación de conexiones PC3 SR3: /24 Internet AUX VTY FE0/0 ES3: /30 S0/0/1 RouterISP Router(config)# line aux 0 Router(config-line)# no password Router(config-line)# login % Login disabled on line 65, until password is set

16 Configuración acceso remoto PC3 seguro SR3: /24 Internet SSH TCP: 22 FE0/0 ES3: /30 S0/0/1 RouterISP Router(config)# line vty 0 4 Router(config-line)# no transport input Router(config-line)# transport input ssh Router(config-line)# exec-timeout 5 Router(config)# service tcp-keepalives-in

17 Configuración acceso remoto PC3 seguro SR3: /24 Internet SSH TCP: 22 FE0/0 ES3: /30 S0/0/1 RouterISP Pasos para configurar el SSH: 1) Nombre de Host 2) Nombre de dominio 3) Claves asimétricas 4) Autenticación local 5) Tiempo de espera y reintentos

18 Configuración acceso remoto PC3 seguro SR3: /24 Router(config)# hostname Router3 Internet Router3(config)# ip domain-name midominio.com SSH Router3(config)# crypto key generate rsa TCP: 22 The name for the keys will be: Router3.midominio.com Choose the size of the key modulus in the range of 360 to 2048 for your FE0/0 General Purpose Keys. ES3: /30 Choosing a key modulus greater than 512 may take a few Router3 minutes. RouterISP S0/0/1 How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[ok] Router3(config)# username angelica secret angelica Router3(config)# line vty 0 4 *mar 1 1:42:28.963: %SSH-5-ENABLED: SSH 1.99 has been enabled Router3(config-if)# transport input ssh Router3(config-if)# login local Router3(config-if)# exit Router3(config)# ip ssh time-out 15 Router3(config)# ip ssh authentication-retries 3

19 3) Registros de sucesos del router PC SR3: /24 Internet enable password username line password FE0/0 ES3: /30 S0/0/1 RouterISP Router(config)# logging *Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 12:40:11 UTC Mon Sep

20 PC3 4) Protección de servicios e interfaces vulnerables SR3: /24 Internet SSH TCP: 22 FE0/0 S0/0/1 ES3: /30 Restricción de servicios vulnerables Desactivación de servicios vulnerables Ejemplo: - Desactivación del servicio TFTP en el router - Restricción para limitar el alcance del servicio - CDP se usa en implementaciones de Telefonía IP RouterISP Capa 7 Capa 6 Capa 5 Capa 4 Capa 3 Capa 2 Capa 1 Aplicación Presentación Sesión Transporte Red Enlace de datos Física

21 Servicios vulnerables Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers Default: depende de la versión del IOS Desactiva los servicios pequeños, como: echo, discard, daytime y chargen. Un atacante puede hacer un DoS hacia uno o más dispositivos de la red sí estos servicios se encuentran activos. Ejemplo: Echo y chargen pueden generar loops infinitos de generación de echo y carácter entre dos hosts. Router(config)# no ip bootp server Deafult: habilitado No permiten que los otros routers arranquen desde él. Se necesita con poca frecuencia y es un hueco de seguridad, así que se recomienda desactivarlo.

22 Servicios vulnerables Router(config)# no service finger Default: Habilitado Desactiva el servicio de búsqueda de usuarios UNIX, para evitar el listado de usuarios conectados. Router(config)# no ip http server Default: varía según el dispositivo Desactiva la configuración basada en web. Si no se usa se recomiendo desactivarlo, o definir restricción de acceso al mismo mediante técnicas de autenticación y limitando las conexiones.

23 Servicios vulnerables Router(config)# no snmp-server Router(config)# no snmp-server enable traps Router(config)# no snmp-server system-shutdown Default: Habilitado Desactiva las consultas y configuración remota del SNMP. En caso de requerirse, se debe asegurar y restringir el acceso a SNMP. Se recomienda utilizar SNMPv3 que implementa características de seguridad, mientras que las versiones 1 y 2 pasan toda la información en texto claro. Router(config)# access-list 1 permit Switch(config)# access-list 1 permit Switch(config)# snmp-server group administrador v3 auth read adminview write adminview Switch(config)# snmp-server user admin administrador v3 auth md5 contraseña access 1 Router(config)# snmp-server view adminview iprouteentry excluded

24 Servicios vulnerables Router(config)# no cdp run Router(config-if)# no cdp enable Default: Habilitado Desactiva el descubrimiento de dispositivos en la red. El CDP permite tener una abstracción de la red y de las características de los dispositivos, como por ejemplo el modelo, la versión del IOS, permitiendo a un atacante conocer la infraestructura y planear ataques de DoS. Router(config)# no service config Default: Deshabilitado Deshabilita la carga de la configuración de manera remota desde un tftp.

25 Servicios vulnerables Router(config)# no ip source-route Default: Habilitado Desactiva que los paquetes IP especifiquen sus propias rutas, esto es, el enrutamiento IP de origen. Router(config)# no ip classless Default: Habilitado Durante el proceso de enrutamiento para la selección de la ruta en el routing table, desactiva que se busque en una ruta diferente a la primaria definida para la red. Ejemplo: una ruta a , su ruta primaria es , luego sí se encuentra la procede a buscar en la secundaria ( ). En caso de no encontrarse ruta, descarta el paquete así se tengan rutas estáticas por omisión.

26 Interfaces vulnerables Router(config-if)# shutdown Mantener abajo una interface sí no es usada. Router(config-if)# no ip directed-broadcast Default: Habilitado en versiones de IOS menores al Prevención de ataques smurf, evitando los broadcast dirigidos que generan ataques de DoS al hosts suplantado en la dirección origen. Router(config-if)# no ip proxy-arp Default: Habilitado Desactiva que el router pueda ser usado como servidor intermediario de direcciones de red (MAC). Se recomienda desactivarlo en las interfaces conectadas al router del ISP.

27 Servicios vulnerables Router(config)# ip name-server dirección_dns Configure la dirección del servidor DNS en la red. Router(config)# no ip domain-lookup Default: Habilitado Desactiva la resolución de nombres.

28 5) Protección de los protocolos de PC3 enrutamiento SR3: /24 Internet FE0/0 ES3: /30 S0/0/1 RouterISP Routing updates Link-state advertisements Falsificación de la información de enrutamiento. Puede conllevar a ataques de DoS. a. El tráfico se redirecciona para la creación de routing loops. b. El tráfico se redirecciona para monitorizar un enlace inseguro. c. El tráfico se redirecciona para descartarlo.

29 Autenticación de los protocolos de enrutamiento 1. Cambio de la topología Proceso de actualización del routing table. E S0 Router1 S0 Router2 6. Proceso de actualización del routing table. S1 S S0 Router3 E0 S0 Router4 E MD5( información rutas + clave) = firma 4. Se envía la actualización autenticada (MD5). Son enviados: 5. MD5( información rutas + clave) = firma Periódicamente en intervalos regulares. Cuando ocurre un cambio en la topología (Trigger updates).

30 Protección del protocolo PC FE0/0 SR3: /24 S0/0/1 ES3: /30 RouterISP Internet Controlar las interfaces activas para la propagación de información de enrutamiento. Router(config)# router PROTOCOLO Router(config-router)# passive-interface default Router(config-router)# no passive-interface S0/0/1 Una interface en modo pasivo recibe actualizaciones pero no las envía. PROTOCOLO: RIP, EIGRP, OSPF

31 Protección de RIPv2 PC FE0/0 SR3: /24 ES3: /30 Internet Active la autenticación MD5 de los avisos de rutas. S0/0/1 RouterISP Router(config)# key chain CLAVE_RIP Router(config-keychain)# key 1 Router(config-keychain-key)# key-string claverip Router(config)# interface S0/0/1 Router(config-if)# ip rip authentication mode md5 Router(config-if)# ip rip authentication key-chain CLAVE_RIP

32 Protección de EIGRP PC FE0/0 SR3: /24 ES3: /30 Internet Active la autenticación MD5 de los avisos de rutas. S0/0/1 RouterISP Router(config)# key chain CLAVE_EIGRP Router(config-keychain)# key 1 Router(config-keychain-key)# key-string claveeigrp Router(config)# interface S0/0/1 Router(config-if)# ip authentication mode eigrp 1 md5 Router(config-if)# ip authentication key-chain eigrp 1 CLAVE_EIGRP

33 Protección de OSPF PC FE0/0 SR3: /24 ES3: /30 Internet Active la autenticación MD5 de los avisos de rutas. S0/0/1 RouterISP Router(config)# interface S0/0/1 Router(config-if)# ip ospf message-digest-key 1 md5 claveospf Router(config-if)# ip ospf authentication message-digest Router(config)# router ospf 2 Router(config-router)# area 1 authentication message-digest

34 6) Control y filtrado del tráfico en la red Permiten administrar el tráfico. Se clasifican los paquetes IP. Seguridad Control de acceso Enrutamiento basado en políticas Calidad del Servicio QoS NAT-Network Address Translation / PAT Port Address Translation

35 ACL Access Control Lists Son aplicados a todos los fragmentos de un paquete IP: inicial o no. Se encuentra la información de las capas 3 y 4. Se puede permitir (permit) o denegar (deny) el acceso. Revisa la estructura del fragmento del paquete IP para poder tomar decisión sobre el paquete. Si recibe un fragmento no inicial, entonces revisa solo la información capa 3 para denegar o permitir el acceso. Si un fragmento no inicial cumple con la regla definida en el filtro del paquete a nivel de capa 3, entonces es permitido y viajaría hacia el destino, pero en el caso de que el fragmento inicial no cumple la regla por la información de capa 4, el destino no será capaz de reensamblar el datagrama IP original. Si recibe un fragmento inicial, se revisa la información de la capa 3 y 4 para denegar o permitir el acceso.

36 ACL Access Control Lists APLICACIÓN Router ACL Firewall ACL Internet Switch ACL Proxy Server ACL Filtros de paquetes Seguridad Definición de tráfico interesante VLAN1 VLAN2

37 ACL Access Control Lists EJEMPLO Permit Internet Paquete desde E0 IP Fuente y Destino Otros datos Regla? NO SI Paquete hacia S0 S0 Deny Descartar Paquete E0 Router VLAN1 VLAN2

38 ACL Access Control Lists TIPOS ESTANDAR EXTENDIDA Verifica la dirección IP fuente de los paquetes. Permite o no la salida de paquetes basado solo en la fuente: Dirección de red Dirección de subred Dirección IP Verifica la dirección IP fuente y destino del paquete. Permite verificar también: Protocolos Números de puerto Otros parámetros

39 ACL Access Control Lists RANGOS NUMÉRICOS ESTANDAR EXTENDIDA 1 99 Verifica la dirección fuente en un paquete IP Rango expandido Verifica dirección fuente y destino, protocolo específico TCP/IP y puerto destino Rango expandido. NOMBRADA Cadena de caracteres

40 ACL Access Control Lists ALGUNOS PUERTOS DESTINO Puerto 20 (TCP) FTP 21 (TCP) FTP Control Protocolo IP 22 (TCP) SSH Remote Login Protocol 23 (TCP) Telnet 25 (TCP) SMTP Simple Mail Transfer 53 (TCP) DNS Domain Name Server 66 (TCP) Oracle SQL Net 69 (TCP) TFTP Trivial File Transfer 80 (TCP) HTTP World Wide Web 161 (TCP) SNMP Single Network Management Tomado de:

41 ACL Access Control Lists OPERACIÓN E0 S0 Inbound ACL Router Outbound ACL Paquetes entrantes son procesados por el ACL de la interface de entrada antes de ser enrutados a la interface de salida. Paquetes entrantes son enrutados a la interface de salida, luego son procesados por el ACL de la interface de salida.

42 ACL Access Control Lists ALGORITMO INBOUND Paquete Router Inicio Recibir el paquete MIENTRASQUE ((Existe ACL) Y (NO(Permitir/ Denegar Paquete))) SI (Condiciones ACL verdadera) Permitir/ Denegar Paquete SINO Seguir con otro ACL FSI FMQ SI (Permitir Paquete) SI (Ruta en Routing Table) Escoger la interface de salida Enrutar Paquete SINO Descartar Paquete FSI SINO Descartar Paquete FSI Fin E0 ACL S0

43 ACL Access Control Lists ALGORITMO OUTBOUND Paquete E0 S0 ACL Router Inicio Recibir el paquete SI (Ruta en Routing Table) Escoger la interface de salida MIENTRASQUE ((Existe Otro ACL) Y (NO(Permitir/ Denegar Paquete))) SI (Condiciones ACL verdadera) Permitir/ Denegar Paquete SINO Seguir con otro ACL FSI FMQ SINO Descartar Paquete FSI SI (Permitir Paquete) Enrutar Paquete SINO Descartar Paquete FSI Fin

44 ACL Access Control Lists WILDCARD Usadas para filtrar direcciones. Identifica la forma del chequeo de los bits de la dirección IP. 0 Chequear el valor del bit correspondiente en la dirección IP. 1 Ignorar el valor del bit correspondiente en la dirección IP. Funcionan de manera inversa que la máscara de red Chequear todos los bits Ignorar todos los bits (any)

45 ACL Access Control Lists WILDCARD EJEMPLOS Verificación de un host Dirección IP: Wildcard: (Verificación de todos los bits). Abreviado: host Cualquier host Dirección IP: any Widcard: Abreviado: any Verificación de una subred Dirección Subred: Wildcard:

46 Configuración E0 S0 Router El número del ACL indica el protocolo que va a ser filtrado. Es permitido un ALC por: interface, protocolo y dirección. Se deben crear primero los ACLs y luego aplicarlas a una interface. Los ACLs permiten filtrar el tráfico entrante y saliente en el router, no el tráfico que se origina desde el router. Es importante el orden de las reglas en el ACL. Las reglas más importantes deben ir al inicio del ACL.

47 Configuración COMANDOS E0 S0 Router Router(config)# access-list #ACL {permit deny} {condiciones_regla} Router(config-if)# {protocolo} access-group #ACL {in out} Protocolo: IP, IPX

48 Configuración COMANDOS E0 S0 Router Router(config)# access-list #ACL {permit deny} dir_fuente [máscara] ACL estándar IP: Rango numérico (1-99) Máscara wildcard por omisión: Router(config-if)# ip access-group #ACL {in out} Omisión: outbound Habilita la lista IP en una interface

49 Configuración COMANDOS ACL EXTENDIDA E0 S0 Router Router(config)# access-list #ACL {permit deny} protocolo dir_fuente máscara_wildcard_fuente [operador puerto] dir_destino máscara_wildcard_destino [operador puerto] [established] [log] ACL estándar IP: Rango numérico ( ) y ( ) Protocolo: tcp, ip, upd, icmp, gre (Generic Routing Encapsulation), igrp Operador: It Menor Gt Mayor Eq Igual Neq Diferente Puerto: Número de puerto (21: ftp, 23: telnet, 80: http, entre otros). Established: Solo para interfaces entrantes TCP. Permite tráfico TCP si el paquete usa conexión establecida; el paquete tiene establecido el bit ACK. Log: envía un mensaje log a la consola.

50 Bloquea el tráfico saliente que viene de la dirección y permite el resto del tráfico ha ser reenviado en la interface FE1. Configuración EJEMPLO Otras redes S0 Paquete FE0 Router FE Router# configure terminal Router(config)# access-list 1 deny Router(config)# access-list 1 permit Router(config)# interface FastEthernet 1 Router(config-if)# ip access-group 1 out

51 Configuración EJEMPLO Bloquea el tráfico TELNET (23) y SMTP (25) desde la subred a la subred para los paquetes salientes a través de la interface FE0. Permite el resto del tráfico. Otras redes Paquete S FE0 Router FE Router# configure terminal Router(config)# access-list 101 deny tcp eq 23 Router(config)# access-list 101 deny tcp eq 25 Router(config)# access-list 101 permit ip any any Router(config)# interface FastEthernet 0 Router(config-if)# ip access-group 1 out

52 Taller: Configurando seguridad en los routers

53 Aseguramiento de Dispositivos Angélica Flórez Abril, MSc. Universidad Pontificia Bolivariana Bucaramanga, Colombia Octubre, 2011 MUCHAS GRACIAS!!!